如何從安全信息和事件管理中獲得價值
由于企業發生安全事件和漏洞變得越來越普遍,安全信息和事件管理(SIEM)解決方案日漸引起了企業的興趣和重視。理想情況下,SIEM將幫助企業收集和關聯日志、以及相關事件數據來識別和應對那些真正會引發安全威脅的問題。這是一個相當艱巨的任務,許多部署了SIEM的企業均對此感到失望,因為他們沒有達到他們所期望的效果。
托管安全服務提供商Proficio公司的總裁兼首席執行官布拉德·泰勒表示說,他的公司經常被客戶的電話叫去搶救各種沒有成功部署的SIEM。在積累了數年的經驗之后,泰勒對于客戶的相關項目最有可能在何處脫軌有著清晰的把控。
“很多企業都是將SIEM作為一款設備購買的,他們認為其就如同防火墻或IDS一樣,只要在最初設置了之后,慢慢就將其忘記了。”泰勒說。實際上,其是一個框架,需要特殊的考慮框架中的管理軟件,以及保持內容的相關性,以確保其所提供的信息是可操作的。“這是真正的挑戰,其還涉及到一大堆的東西,以使其更有效。”
他認為,最為重要的問題包括:
缺乏可操作的警報
缺乏相關的內容和使用案例
缺乏執行能見度
進程未能充分完整的部署實施
具有訪問權限的人員
未能讓檢測工作起到預防作用
我就相關的挑戰問題和他關于如何從SIEM獲得最大的價值的建議,與泰勒進行了一次詳談。
“許多企業都會安裝這些設備,以便向其指明他們的相關日志和其他數據源,并建立起基本的內容,而每天的安全事件從數百萬到一兩千件不等。”泰勒說。 “這仍然不是一個可以進行調查管理的數量。他們需要靜下心來,專注以兩三個有意義的事件活動,有針對性的調查,而從數千個安全事件中獲得兩三個便是一項挑戰。”
企業沒有得到他們所需要的可操作的警報,因為來自諸如防火墻和入侵檢測系統(IDS)這樣的設備仍然有太大的噪音,并且圍繞著警報也沒有足夠的背景能讓他們真正信任。這可能會導致安全分析師把時間浪費在意義不太重大的事件上。泰勒強調了來自SIEM設備上的超越了基層內容,并能夠提供自定義的使用案例,而且是特定于企業用戶的業務和計算環境的重要性。
“我們在SIEM和使用案例中看到缺乏相關的內容。”根據泰勒介紹。“一個SIEM可以幫助您找到很多東西,但你必須告訴需要尋找的是什么,或者你可以給它一些條件,這樣其就可以開始分析行為。你也必須明白,相關的安全威脅是不斷發展的,需要不斷地適應你的內容和你的使用案例。”
他說,一個簡單的使用案例:可能是想知道“當企業的某個員工在辦公室登錄到自己的臺式機,并在同一時間從遠程位置登錄到VPN。畢竟一個人不能同時出現在兩個地方,這樣,企業就會知道這是一個值得深入挖掘的情況。需要查看分析兩個登錄源,對兩個登錄源分別來自何處做定位分析,并發出相關類型的警報。這是一個非常簡單的企業可能想基于員工的差旅和使用VPN設置的使用案例。當然還有更復雜的使用案例,也可以圍繞應用程序、Web門戶網站和尋找惡意軟件和惡意活動的基本內容建立。”
他給出了一個如何把一次安全事件融入周圍環境的例子。假設你企業有IDS檢測活動,正試圖利用一個危險的漏洞,如Shellshock。但流量是針對那些不具有漏洞的系統,基于漏洞掃描你企業已經有的數據。重要的是要關聯這些數據點,這樣你就不會以追逐那些根本沒什么要緊的東西而結束了。
很多企業并沒有花時間去將他們的內部資源和政策模擬成SIEM,使其更有效地確定可疑的內部威脅,以及周邊環境的安全性。 “企業需要模擬他們的資產,”泰勒說。“他們需要確保熟悉其環境中的一切,熟悉金融區域與開發區域,熟悉相關的企業政策應該從哪里傳達到哪里,這就是業務的環境背景。它告訴我很多關于什么情況應該是正常的,然后我可以創建使用案例和行為,這樣我可以尋找那些異常的東西。”
他補充說,“你不能依靠SIEM的基本內容以回答有關環境背景和重點的問題。所有的SIEM有基本的內容固然是相當不錯,但你必須去適應它,將其模擬到您自己的環境和當下的安全威脅。你必須不斷增加和調整內容。”
泰勒表示說,企業的SIEM項目失敗的另一方面是其運作,或定義進程如何進行。例如,從安全操作中心發送一個請求到網絡運營團隊以解決防火墻塊的問題的進程是怎樣的?該請求將如何優先? 如果有可能導致違反環境的關鍵威脅,網絡團隊需要現在就立馬解決塊的更改問題,而不是等到常規變更管理窗口四天之后才解決。泰勒建議在一個共享的運行手冊定義這樣的流程,以避免臨時反應或活動。
SIEM的部署實現還有一個有時會引發問題的領域是要在相關的崗位上安排合適的人員。泰勒說,SIEM專家很難找到,且有著高度的需求。不過,也有一些關鍵的角色,公司必須要有,就像一個內容作者,一個SIEM架構師進行使用案例建模和SIEM管理員以確保數據源和數據庫工作正常。如果一家企業無法找到足夠的員工來組成一個合格的團隊,有些任務可以采用外包,比如全天候覆蓋的監測和響應警報。
泰勒說,企業可以從SIEM解決方案中獲得了很多價值,但是只有當其是不斷地按照企業的內容和策略為目的而定制服務時,才能發揮其最大價值。
